Piazza Forum (http://www.piazza-forum.de/index.php)
- Archiv (http://www.piazza-forum.de/board.php?boardid=65)
--- Archiv der alten Threads (http://www.piazza-forum.de/board.php?boardid=76)
---- Internet und PC (http://www.piazza-forum.de/board.php?boardid=6)
----- "RECYCLER - Virus" - kein Zugriff auf Laufwerke im Arbeitsplatz (http://www.piazza-forum.de/threadid.php?threadid=5798)


Geschrieben von close am 12.02.2009 um 00:24:

Achtung "RECYCLER - Virus" - kein Zugriff auf Laufwerke im Arbeitsplatz

Vorwort (von mir übersetzter Text)

Wenn Dein PC kürzlich infiziert wurde wird u.U. KEINE FIREWALL, HARDWARE oder SOFTWARE, KEIN ANTI-SPYPROGRAMM oder ANTIVIRUS-PROGRAMM eine ZWEIT-INFEKTION verhindern!
Der größte Teil der im Netz befindlichen Gemeinheiten installiert sofort im Hintergrund ablaufende Prozesse, indem es weitere Programme im Hintergrund installiert und weitere ...und weitere ...und noch mehr - einige dieser "Nachinstallationen aus dem Netz" beinhalten bis zu 100 verschiedene MALWARE applications! geschockt
Das ist u.a. so, weil VIEL GELD dabei im Spiel ist, denn diese Leute verkaufen u.a. den Zugriff auf DEINEN COMPUTER, seine Inhalte oder seine Power im Netz sobald dein Rechner, deine Internetverbindung "in ihrer Hand" ist.

Antivirus- oder Antispyware-Programme mögen einiges oder sogar das Meiste davon säubern oder deaktivieren, aber viele der nachgeladenen Programme agieren quasi intelligent wie Viren im Bereich des menschlichen Körpers und "opfern" beispielsweise u.a. Komponenten damit diese Antivirus- oder Antispyware-Programme getäuscht werden und ein sauberes System vorgaukeln.

Die besten Programmierer der Welt arbeiten daran u.a. Deinen Computer unter Ihre Kontrolle zu bringen - nimm' das nicht persönlich, Dein Computer im Netz ist nur nebenbei auch Ihre Zielscheibe, wird aber gerne mitgenommen - der Kampf der besten Programmierer gegen sehr gute Anti-Programmierer ist ein Krieg und "die Guten" sind in dieser Auseinandersetzung immer einen Schritt hinter den Besten.

...
...was ist unter Linux anders?
http://wiki.ubuntuusers.de/Sicherheitskonzepte

__________________
thread.php?postid=123456#post123456


Geschrieben von close am 02.03.2009 um 04:37:

Mich hatte es unter WiNXP auch erwischt - erst glaubte ich, daß sich an meiner betagteren HD was verstellt hätte,
aber ich fand dann Infos im Netz zum Thema...
Es fing (vermutlich, sicher ist das nicht) mit der Ausführung eines Downloads aus dem Netz an, jaja ich weiß...

...selbst Kaspersky u.ä. Software hat (oder hatte?) Probleme mit dem Resultat der Infektion / dem Verhalten des Trojaners / Worm
weil es sich in einem gesicherten Systemteil verschanzt.

Wenn ich zum Beispiel C:\ anklicke,
poppt folgende Meldung hoch:

Windows cannot find 'Recycler\S-6-0-80-100014703-100016174-100025680-3122.com'.
Make sure you typed the name correctly.
... (weiteres Blabla...)

Unter XP sind keine Einzel-LW C, D, usw. ... im Arbeitsplatz / My Computer aufrufbar, nur mit dem Explorer geht das dann immer noch.


Infos zum Thema fand ich unter

Recycler virus? Feb 2 2009, 05:56 PM
http://www.bleepingcomputer.com/forums/lofiversion/index.php/t200165.html

und
URGENT ASSISTANCE "Recycler virus" vom 25.05.2008 22:32 = MONATE bereits VORHER!!!!
http://forum.kaspersky.com/index.php?showtopic=70126

Das Teil -wie heißt das Mistding mittlerweile eigentlich?- ... da ich unter Recycler-Virus kaum etwas im Netz finde?
infiziert anscheinend sobald ein USB-Stick oder andere Arten infizierter Speicherkarten mit dem System verbunden werden.

Zitat:
Recycler virus

1.-It is spreading through USB storage devices and infects computers by creating a folder Recycler and within it another folder named S-1-5-21-1482476501-1644491937-682003330-1013
and within this folder Desktop.ini creates a file which contains a line:
[. ShellClassInfo]
CLSID = (645FF040-5081-101B-9F08-00AA002F954E)
referring to the folder of the Recycle Bin, so that when the user tries to see what the contents of that folder always opens the Recycle Bin thus concealing the true records of viruses that are ise.exe , Isee.exe. This is a very interesting way of hiding because it tends to make people believe that we are "clean".

2.-Once executed the virus is connected to the Internet at the following page: /snip whose ip is /snip. For packages in the transmission seems to me it was a server type IRC server to which it connects with a user name at random and with a password: trb123trb. This allowed the attacker to take control of the computer and send different commands to the PC, that is why many of the victims of this virus have problems related to Internet outages, crashing unexpected, closed windows, etc..

3.-His form of self each start Windows as well. If you're looking for in MSCONFIG not find it, what it does is to create a autojecutarse enters the record in the following route:
Hkey_local_machine \ software \ Microsoft \ Active Setup \ Installed Components \ (08B0E5C0-4FCB-11CF-AAX5-90401C608512)
Stubpath = "C: \ recycled \ S-1-5-21-1482476501-1644491937-682003330-1013 \ ise.exe"
4.-
It creates a file in all the units autorun whether physical or removable media with the following contents:
[auto]
Recycled open = \ S-1-5-21-1482476501-1644491937-682003330-1013 \ ise.exe
icon =% SystemRoot% \ system32 \ shell32.dll, 4
action = Open folder to view files
Shell \ Open = Open
shell \ open \ command = recycled \ S-1-5-21-1482476501-1644491937-682003330-1013 \ ise.exe
shell \ open \ default = 1
To avoid detection through the task manager and cancellation of their processes, injects its process to explorer.exe.



Ich habe also ein Batch file erstellt um mal zu checken wo und was alles am dampfen ist:

[CODE]reg query " HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountP
oints2" /s >Log.txt 2>&1
start notepad log
del %0[/CODE]

Bei mir sehen die Falscheinträge für die Laufwerke ANDERS aus:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mou
ntPoints2\M\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-6-0-80-100014703-100016174-100025680-3122.com c:\


Ich habe viele Partitionen und USB - Platte draussen dran,
dementsprechend noch mehr solche Einträge -
ein Infektionsweg sind ja (siehe oben) z.B. USB Sticks aber das war es bei mir nicht.

...also glücklicherweise oder was weiss ich ohne die " \ ise.exe "
oder " \ Isee.exe "
aber wer weiß, vielleicht holt sich das mistdingen die auch noch irgendwoher?

Was kann man da tun?
Ich entferne erst einmal alle Falscheinträge in der Registry, mal abwarten ... irgendwo tief im Müll

by creating a folder Recycler and within it another folder named S-1-5-21-1482476501-1644491937-682003330-1013
and within this folder Desktop.ini creates a file which contains a line:
[. ShellClassInfo]
CLSID = (645FF040-5081-101B-9F08-00AA002F954E)
referring to the folder of the Recycle Bin,


schlummert vielleicht weiterer Ärger?

__________________
thread.php?postid=123456#post123456


Geschrieben von close am 02.03.2009 um 05:04:

DENEN hier (siehe auch start-thread hier weiter oben)
scheint das Ding bekannt zu sein, anscheinend tut es in diesem Fall ein registry-edit:
http://www.bleepingcomputer.com/forums/lofiversion/index.php/t200165.html

.
.
.

Ich kann das gut mit Hilfe von Linux entfernen,
ABER ich habe auch schon Sachen jetzt gelesen, wo sich Apple "MAC"(intosh) User über das Recycler Ding wundern,
...
iMac - "RECYCLERS" 'isee.exe' Worm locked in my trash - advice ...
http://www.mac-forums.com/forums/os-x-operating-system/136382-recyclers-isee-exe-worm-locked-my-trash-advice.html


So... jetzt mal nachgeschaut... in den Platten die sich mit

Windows cannot find 'Recycler\S-6-0-80-100014703-100016174-100025680-3122.com'.
Make sure you typed the name correctly. ... (weiteres Blabla...)

melden,
steckt im Recycler / Papierkorb
eine (oder mehrere) versteckte "MS-Dos" Applikation(en) mit verschiedenen Nummern (die kann wohl immer anders sein, wie ich im Netz lese)
der versteckte "Papierkorb im Papierkorb" hat ebenfalls dann eine andere Nummer ...

("free") AVG 8.0
http://www.avg.com/

(leider nur datenbank von 15.01.2009)
bezeichnet das Teil als

WIN32/HEUR

Win32/Heur, also mentioned as Virus Win32 Heur is a dangerous self-mutating polymorphic trojan virus ... ...
Once infected, Win32/Heur virus will modify Windows win32 system files, and install additional trojans, worms and viruses onto the infected computer. The Win32/Heur trojan is usually detected with the "Virus found Win32/Heur" alert and may activate fake Dr. Watson security warnings and redirect Internet Explorer and FireFox browsers to sites like ripetv.com or crackle.com. Trojan Win32/Heur malware is severe security risk that can disable antivirus and firewall software and hijack both local and network computers.


Daraufhin bin ich hier gelandet:

AVG finding virus win32 heur
http://www.techspot.com/vb/topic105822.html

UPDATED 8-step Viruses/Spyware/Malware Preliminary Removal Instructions
http://www.techspot.com/vb/topic58138.html


AVG finding virus win32 heur
http://www.techspot.com/vb/topic105822.html

UPDATED 8-step Viruses/Spyware/Malware Preliminary Removal Instructions
http://www.techspot.com/vb/topic58138.html

im Zweifelsfalle muss ich jetzt sofort vollständig auf Ubuntu Linux umsteigen um weiterhin meinen Computer nutzen zu können.

WIN32 HEUR scheint irgendwelche files / exes bereits im griff zu haben und egal ob ich die recycler mit linux plattmache die registry einträge weg-editiere, bei aufruf eines laufwerkes bzw. nach restarts ist der krampf wieder da.
das problem scheinen viele leute im netz (gehabt) zu haben und wenn man sich die beschreibungen aus dem techspot.com forum alleine zur analyse der infektion anschaut ... traurig

der terror ging innerhalb von jetzt auf gleich los, auch wenn das ding schon seit 1-2 jahren im netz unterwegs ist: wen es erwischt, der hat die a****-karte, so wie es jetzt ausschaut.

Mein letzter Strohhalm ist der doch recht netz-bejubelte (CHIP)

Trojan Remover 6.7.5 Build 2563 Free Trial

The majority of Virus and Trojan Scanners are well able to detect malicious Trojan Horses and Internet Worms but are not always very efficient in removing them once they have been triggered.

Trojan Remover was written specifically to carry out such a removal without the user having to manually edit system files, including the Registry. The program also removes the additional system modifications some Trojans carry out which are ignored by other Virus and Trojan Scanners.


Version 6.7.5 Build 2563 has improved heuristic detection routines.

http://www.download.com/Trojan-Remover/3000-8022_4-10038982.html


Trojan Remover 6.7.5

hat alles mögliche gefunden - was ich u.a. übersehen hatte war eine verdeckte autorun.inf (=autostart.inf) auf ALLEN partitionen, gleich 'vorne' auf dem jeweiligen Laufwerk (dementsprechend auch USB sticks etc.)
diese autorun infizierte von da aus dann z.B. sofort während des start oder der abmeldung / restart (vermutlich) die registry mit erstmal 2 einträgen die wieder auf den pseudo-papierkorb 'recycler' zielten, in nullkommanichts dort die seltsame ms-dos datei, einen phantom recycle und sonstwas initiierten.

weiterhin fand Trojan Remover 6.7.5 zwei, drei veränderte DLL und eine suspekte exe und isolierte den kram sofort.

und -simsalabim- beim restart danach fehlte der sonst immer wieder auftauchende registry scherz und die mülleimer blieben sammt verdeckten system-mülleimer endlich ebenfalls unbelästigt.

tja... was für ein ärger ... hoffentlich hilft es jemand anders, denn wenn ich mir so anschaue was man per hand so alles anstellen müsste (siehe http://www.techspot.com/vb/topic58138.html ) und dann hat man vielleicht nach 3 tagen arbeit KEIN positives ergebnis ... (ein fall ist da dabei der jammerte schon dass er lieber gleich formatiert und neu installiert hätte).

__________________
thread.php?postid=123456#post123456

Powered by: Burning Board Lite 1.0.2 © 2001-2004 WoltLab GmbH